Η 23andMe παραδέχεται ότι δεν εντόπισε κυβερνοεπιθέσεις για μήνες
Σε
μι
α επιστολή ειδοποίησης παραβίασης δεδομένων που κατατέθηκε στις ρυθμιστικές αρχές αυτό το Σαββατοκύριακο, η 23andMe αποκάλυψε ότι χάκερ άρχισαν να εισβάλλουν στους λογαριασμούς των πελατών τον Απρίλιο του 2023 και συνέχισαν το μεγαλύτερο μέρος του Σεπτεμβρίου.
Με άλλα λόγια, για περίπου πέντε μήνες, η 23andMe δεν εντόπισε μια σειρά από επιθέσεις στον
κυβερνοχώρο
όπου οι χάκερ προσπαθούσαν – και συχνά τα κατάφερναν – να εξαναγκάσουν την πρόσβαση στους λογαριασμούς των πελατών.
σύμφωνα με μια νομικά απαιτούμενη κατάθεση που εστάλη στον γενικό εισαγγελέα της Καλιφόρνια
.
Μήνες αφότου οι χάκερ άρχισαν να στοχεύουν πελάτες 23andMe, η εταιρεία αποκάλυψε ότι οι χάκερ είχαν κλέψει την καταγωγή και τα γενετικά δεδομένα 6,9 εκατομμυρίων χρηστών, ή περίπου των μισών πελατών της.
Σύμφωνα με την εταιρεία, η 23andMe ενημερώθηκε για την παραβίαση τον Οκτώβριο όταν οι χάκερ διαφήμισαν τα κλεμμένα δεδομένα σε αναρτήσεις που δημοσιεύτηκαν στο ανεπίσημο subreddit 23andMe και χωριστά σε ένα διαβόητο φόρουμ
hacking
. Το 23andMe επίσης δεν παρατήρησε ότι οι χάκερ διαφήμισαν τα κλεμμένα δεδομένα σε άλλο φόρουμ hacking μήνες νωρίτερα τον Αύγουστο, όπως ανέφερε το TechCrunch.
Επικοινωνήστε μαζί μας
Έχετε περισσότερες πληροφορίες για αυτό το
hack
; Θα θέλαμε να ακούσουμε νέα σας. Από μια συσκευή που δεν λειτουργεί, μπορείτε να επικοινωνήσετε με τον Lorenzo Franceschi-Bicchierai με ασφάλεια στο Signal στο +1 917 257 1382 ή μέσω Telegram, Keybase and Wire @lorenzofb ή email στο
. Μπορείτε επίσης να επικοινωνήσετε με το TechCrunch μέσω του SecureDrop.
Όπως παραδέχτηκε αργότερα το 23andMe, οι χάκερ μπόρεσαν να αποκτήσουν πρόσβαση στους λογαριασμούς περίπου 14.000 πελατών μέσω ωμής εξαναγκασμού σε λογαριασμούς που χρησιμοποιούσαν κωδικούς πρόσβασης που είχαν ήδη δημοσιοποιηθεί και συσχετίζονται με διευθύνσεις email από άλλες παραβιάσεις. Με πρόσβαση σε αυτούς τους λογαριασμούς, οι χάκερ έκλεψαν δεδομένα 6,9 εκατομμυρίων πελατών μέσω του
Συγγενείς DNA
χαρακτηριστικό, το οποίο επιτρέπει στους πελάτες να μοιράζονται αυτό
ματ
α ορισμένα από τα δεδομένα τους με άλλα που η 23andMe ταξινομεί ως συγγενείς. Τα κλεμμένα δεδομένα περιελάμβαναν το όνομα του ατόμου, το έτος γέννησης, τις ετικέτες της σχέσης, το ποσοστό του DNA που μοιράζονταν με συγγενείς, αναφορές καταγωγής και την τοποθεσία που αναφέρθηκε από τον εαυτό του.
Οι εκπρόσωποι του 23andMe δεν απάντησαν αμέσως στο αίτημα του TechCrunch για σχολιασμό, το οποίο περιελάμβανε ερωτήσεις σχετικά με το πώς η παραβίαση παρέμεινε απαρατήρητη για τόσο καιρό.
Αφού οι πελάτες ειδοποιήθηκαν ότι ήταν θύματα της παραβίασης, πολλά θύματα έχουν υποβάλει ομαδικές αγωγές κατά της 23andMe στις ΗΠΑ και τον Καναδά, παρόλο που η εταιρεία προσπάθησε να δυσκολέψει τα θύματα να ενωθούν σε νομικές ενέργειες αλλάζοντας τους όρους παροχής υπηρεσιών . Οι δικηγόροι για παραβίαση δεδομένων χαρακτήρισαν τις αλλαγές των όρων παροχής υπηρεσιών «κυνικές», «αυτοεξυπηρετούμενες» και «απελπισμένη προσπάθεια» να προστατεύσει την 23andMe από τους ίδιους τους πελάτες της.
Σε μια από τις αγωγές, η 23andMe απάντησε κατηγορώντας τους χρήστες για φερόμενη χρήση επαναχρησιμοποιημένων κωδικών πρόσβασης.
“Το περιστατικό δεν ήταν αποτέλεσμα της υποτιθέμενης αποτυχίας της 23andMe να διατηρήσει εύλογα μέτρα ασφαλείας.”
Η 23andMe ισχυρίστηκε σε μια επιστολή ότι θύματα παραβίασης
.
VIA:
techcrunch.com
